FIN7黑客成立假公司招募网络攻击

据报道，安全研究人员发现，出于经济动机的俄罗斯黑客组织FIN7成立了一家虚假公司，以引诱不知情的IT专家支持其继续扩展到勒索软件领域。

据RecordedFuture的Gemini咨询部门的研究人员称，以入侵销售点登记簿并从数百万张信用卡中窃取超过10亿美元而闻名的FIN7现在正在以BastionSecure的名义运营，该公司声称提供专业的公共部门网络安全服务。

BastionSecure的网站看起来很真实。但研究发现，FIN7正在使用来自现有合法网络安全公司的真实、公开可用的信息——电话号码、办公地点和从真实网站上提取的文本——来制造合法性的面纱。Bastion的网站声称它在2016年的SC杂志奖中获得了“最佳托管安全服务”，并且该虚假公司的咨询部门于2016年被六度收购。两者都不是真的。

RecordedFuture对虚假公司网站的分析发现，该网站主要是从合法网络安全公司ConvergentNetworkSolutions的网站复制而来的。研究人员表示，该网站托管在网络犯罪分子经常使用的俄罗斯域名注册商Beget上，该虚假公司网站的一些子菜单返回俄语“找不到页面”错误，研究人员表示，这可能表明该网站创作者是讲俄语的人。

与该网站非常相似，BastionSecure的广告空缺职位看起来也足够合法。这家虚构的公司正在寻找程序员、系统管理员和逆向工程师，其职位描述与您在任何网络安全公司都能找到的相似。

但RecordedFuture表示，以BastionSecure为幌子的FIN7正在寻求建立一支能够执行开展一系列网络犯罪活动所需任务的“员工”。

研究人员发现：“鉴于FIN7对勒索软件的兴趣日益浓厚，BastionSecure可能会专门寻找系统管理员，因为拥有此技能的个人将能够做到。”

采访过程也为研究人员敲响了警钟。虽然第一和第二阶段没有表明BastionSecure正在隐瞒网络犯罪活动，但第三阶段——潜在员工被分配了一项“真正的”任务——泄露了它。

研究人员说：“很明显，该公司参与了犯罪活动。”“BastionSecure代表对文件系统和备份特别感兴趣这一事实表明，FIN7对进行勒索软件攻击比[销售点]感染更感兴趣。”

在BastionSecure担任IT研究员职位的RecordedFuture研究人员之一分析了该公司提供的工具，发现这些工具是后开发工具包Carbanak和Tirion(Lizar)的组件。这两个工具包之前都归于FIN7，可用于入侵销售点系统和部署勒索软件。

“FIN7决定使用一家虚假的网络安全公司为其犯罪活动招募IT专家，这是由FIN7对相对便宜的熟练劳动力的渴望所驱动的，”RecordedFuture说。“BastionSecure提供的IT专家职位的工作机会在每月800美元到1,200美元之间，这是后苏联国家此类职位的可行起薪……实际上，FIN7的虚假公司计划使FIN7的运营商能够获得集团开展犯罪活动所需的人才，同时保留更大份额的利润。”

这不是FIN7第一次伪装成合法公司，之前伪装成“CombiSecurity”，之后公众的不必要关注促使该组织关闭了这家假公司。

Emsisoft的勒索软件专家和威胁分析师BrettCallow告诉TechCrunch，FIN7决定伪装成BastionSecure可能也是为了避免执法部门不必要的关注。

“网络犯罪活动会试图通过一家假公司进行招聘，这并不奇怪。从暗网招聘是有问题和风险的，”他说。“在某些网络犯罪论坛上，勒索软件团伙不像以前那样受欢迎，申请人可能是卧底工作的执法人员。使用标准的招聘广告可以解决这两个问题，而虚假公司也可能用于其他目的——例如洗钱。”

Callow说：“而且员工肯定会在工作性质上被误导——例如，他们可能没有意识到公司不愿意接受他们的渗透测试。”